mshinkareva / auth_sprint_1 Goto Github PK

В Swagger документацию можно и даже нужно добавить авторизацию, для полноценной работы с эндпоинтами.

В auth-service/app/src/main.py в конструкции
postgres.engine = AsyncEngine(
create_engine(settings.pg_url(), echo=True, future=True)
)

Значение параметра echo лучше вынести в настройки и переменную окружение, нам не всегда нужны логи запросов в базу данных, а он именно за это отвечает

Рекомендую роль пользователя упаковывать в Рекомендую роль пользователя упаковывать в payload его access токена. Мы же как-то должны знать, что ему можно, а что нельзя. его access токена. Мы же как-то должны знать, что ему можно, а что нельзя.

вот еще интересное заметил.

А потом уже в эндпоинте опять

У вас тут два раза делается вот такая штука (и исключение там вообще лишнее Permission not exist, вернуть пустой список - не криминал, чего сразу ругаться то?):

[PermissionInDb(name=it.name, description=it.description) for it in result] 

А можно вообще упростить до:

@router.get(
    '/list',
    response_model=list[PermissionInDb],
    status_code=HTTPStatus.OK,
    tags=['permissions'],
    description='List Permissions',
    summary="Список разрешений",
)
async def get_permission(
    service: PermissionService = Depends(permission_services),
) -> list[PermissionInDb]:
    return await service.get_permissions()

А в auth-service/app/src/services/permission.py:

async def get_permissions(self) -> list[Permission]:
    logger.info("Start get_permissions")
    data = await self.pg.execute(select(Permission))
    return data.scalars()

А всеми преобразованиями list[Permission] => list[PermissionInDb] займется FastAPI, при этом будет ориентироваться на поле response_model в эндпоинте, а если его нет то на тип возвращаемого значения -> list[PermissionInDb] и все это благодаря orm_mode = True, который у вас установлен в модели PermissionInDb

Я бы рекомендовал отказаться от авторизации по имени пользователя и использовать адрес электронной почты. Наша задача сделать максимально простую регистрацию для пользователя. Почты у всех уникальные, а придумывать имя пользователя - то еще приключение. Вспомните когда от вас требовалось при регистрации на коком-либо ресурсе придумывать имя пользователя. Наверняка это было давно и редко, и сколько раз приходилось изменять имя пользователя, т.к. оно уже занято, и сколько раз вы хотели все бросить и уйти с этого ресурса

Работу auth-service/app/src/ratelimiter.py нужно немного доработать. Сейчас при превышении разрешенного количества запросов в пользоватетеля просаете 500ю ошибку, без пояснений. Лучше использовать https://developer.mozilla.org/en-US/docs/Web/HTTP/Status/429

При выдаче списков необходимо предусмотреть пагинацию.

В моделях базы данных не определено ни одного внешнего ключа и нет связей никаких (Relationship). Так будет очень сложно строить и развивать приложение. https://sqlmodel.tiangolo.com/tutorial/relationship-attributes/define-relationships-attributes/

Продолжая про RateLimiter, он же ограничивает ВСЕХ пользователей. Т.е. если я злоумышленник и заваливаю сервис запросами, то все пользователи ждут пока мне это надоест. Попробуйте https://github.com/long2ice/fastapi-limiter, там гибкие настройки, и даже по умолчанию, фильтрация по ip адресу.

Сначала написал п.11, а потом увидел, что у вас вообще ВСЕ доступно всем, даже без какой-либо авторизации. Например, управление пользователями и ролями должно быть только у админа. А у меня без авторизации получилось создать роль. Лучше проверку прав делать в виде декоратора для эндпоинта, так сразу видно кому что разрешено.